精华内容
下载资源
问答
  • www 53ff com劫持IE,广告网页图标常驻桌面,删了又来
                   

      一、网友求助


      一位网友本来是想下载一个软件,谁知道下载回来的竟然是流氓软件。

     

      这个流氓软件不仅替换了图面上的IE浏览器图标,将首页篡改为hxxp://www.53ff.com/?hho,在Internet选项中将主页设置为空白页也不行,还在桌面上创建广告网页的快捷方式文件,这些文件删除后重启电脑又会出现。

     

      用360卫士、windows优化大师、超级兔子、Windows清理助手来修复,都不能解决问题,于是请偶帮忙检修。

     

      二、分析


      通过QQ远程协助,在网友的电脑桌面上看到如下广告的图标:

     

     

      1、非常好玩小游戏

      指向: "%ProgramFiles%/Internet Explorer/iexplore.exe"hxxp://www.45575.com/?desk

     

      2、极品美媚图
      指向:"%ProgramFiles%/Internet Explorer/iexplore.exe" hxxp://www.93rt.com/?desk

     

      3、免费电影
      指向:"%ProgramFiles%/Internet Explorer/iexplore.exe"hxxp://www.kuku46.com/?we2

     
      4、淘宝网今日打折特价区
      指向:"%ProgramFiles%/Internet Explorer/iexplore.exe"hxxp://www.223224.com/taobao/?desk

     

      在回传这些广告网址时,QQ提示:

     

      警告:对方本次发送的消息中包含的网址被大量用户举报或存在较高安全风险,已经被QQ安全中心过滤。查看风险详情

     

    只好将网址中的半角“.”换成全角的“.”才能发回来。

     

      发现桌面上的IE图标是假的。指向:hxxp://www.53ff.com/?hho

     

     

      右击出现的快捷方式菜单也不同:

     

      桌面上创建广告网页的快捷方式文件删除后重启电脑又会出现,说明流氓软件还在网友的电脑中,并且每次开机时都自动运行并创建。

     

      所以先用360卫士检查开机启动项,没有发现可疑的。


      再用pe_xscan 扫描log,发现如下可疑项:

    /===
    pe_xscan 09-06-21 by Purple Endurer
    2010-2-9 18:49:49
    Windows XP Service Pack 2(5.1.2600)
    MSIE:8.0.6001.18702
    管理员用户组
    正常模式

    F2 - REG: system.ini: UserInit = <C:/WINDOWS/system32/userinit.exe,C:/Program Files/systemfiles/sys32.exe

    O4 - Startup: 腾讯QQ.lnk -> C:/Program Files/systemfiles/222.vbs

    O30 - IeOpenHomePage = C:/Program Files/Internet Explorer/iexplore.exe hxxp://www.53ff.com/?hho
    ===/


      O4项居然冒充或篡改了腾讯QQ在 开始/程序/启动 中的快捷方式文件腾讯QQ.lnk,但直接检查开始菜单的启动组是看不到这一项的。

     

      到 http://purpleendurer.ys168.com 下载FileInfo这个程序提取文件信息:

     

    文件说明符 : C:/Documents and Settings/Administrator/「开始」菜单/程序/启动/腾讯QQ.lnk
    属性 : --H-
    数字签名:否
    PE文件:否
    创建时间 : 2010-2-8 18:27:15
    修改时间 : 2010-2-8 18:27:16
    大小 : 1446 字节 1.422 KB
    MD5 : 0e93a85d5122a5576b13abed1229fe0f
    SHA1: 5B6537D85C942D54AC353B89F7CA84526FCFBDF2
    CRC32: bcfb2e4d

     

    原来腾讯QQ.lnk这个文件具有隐藏(H)隐性。不过360卫士检测不出来就讲不过去了罢?

     

      用WinRAR浏览C:/Documents and Settings/Administrator/「开始」菜单/程序/启动,可以看到腾讯QQ.lnk这个文件。

     


      腾讯QQ.lnk指向的文件222.vbs与F2项中的可疑文件sys32.exe都位于C:/Program Files/systemfiles中。

     

      F2项这种恶意程序加载方式已经出现N年了,360卫士不仅防不住,还检测不出来。

     

      用WinRAR浏览C:/Program Files/systemfiles,里面的东东还不少:

     

     

      1、

      
    文件说明符 : C:/Program Files/systemfiles/222.vbs
    属性 : A---
    数字签名:否
    PE文件:否
    创建时间 : 2010-2-8 18:27:10
    修改时间 : 2010-2-6 22:27:30
    大小 : 9181 字节 8.989 KB
    MD5 : 2d5689603ecd6136b4e97151d86a87ef
    SHA1: E1B795DB6912D9F43D36E8B9DE4FB209A0D10DCA
    CRC32: ff6e48bc

    文件 222.vbs 接收于 2010.02.09 12:58:03 (UTC)

     

    反病毒引擎版本最后更新扫描结果
    a-squared4.5.0.502010.02.09Trojan.VBS.StartPage!IK
    AhnLab-V35.0.0.22010.02.09-
    AntiVir7.9.1.1602010.02.09-
    Antiy-AVL2.0.3.72010.02.09-
    Authentium5.2.0.52010.02.09-
    Avast4.8.1351.02010.02.09-
    AVG9.0.0.7302010.02.09-
    BitDefender7.22010.02.09-
    CAT-QuickHeal10.002010.02.09-
    ClamAV0.96.0.0-git2010.02.09-
    Comodo38742010.02.09-
    DrWeb5.0.1.122222010.02.09-
    eSafe7.0.17.02010.02.07-
    eTrust-Vet35.2.72922010.02.09-
    F-Prot4.5.1.852010.02.08-
    F-Secure9.0.15370.02010.02.09-
    Fortinet4.0.14.02010.02.09-
    GData192010.02.09-
    IkarusT3.1.1.80.02010.02.09Trojan.VBS.StartPage
    Jiangmin13.0.9002010.02.08-
    K7AntiVirus7.10.9692010.02.08-
    Kaspersky7.0.0.1252010.02.09-
    McAfee58862010.02.08-
    McAfee+Artemis58862010.02.08-
    McAfee-GW-Edition6.8.52010.02.09-
    Microsoft1.54062010.02.09Trojan:VBS/Startpage.H
    NOD3248502010.02.09-
    Norman6.04.032010.02.09-
    nProtect2009.1.8.02010.02.09-
    Panda10.0.2.22010.02.07-
    PCTools7.0.3.52010.02.09Trojan.Adclicker
    Prevx3.02010.02.09-
    Rising22.34.01.012010.02.09AdWare.Script.VBS.AdLinks.f
    Sophos4.50.02010.02.09-
    Sunbelt3.2.1858.22010.02.09-
    Symantec20091.2.0.412010.02.09Trojan.Adclicker
    TheHacker6.5.1.1.1852010.02.09-
    TrendMicro9.120.0.10042010.02.09-
    VBA323.12.12.12010.02.08-
    ViRobot2010.2.9.21782010.02.09-
    VirusBuster5.0.21.02010.02.09-

     

    功能为:
    (1)获取特殊文件夹“桌面”、“收藏夹”的说明符。
    (2)运行3.bat
    (3)修改注册表HKCR/CLSID/{86AEFBE8-763F-0647-899C-A93278894D8E},在桌面上创建一个无法删除的IE图标,在运行时自动打开hxxp://www.53ff.com/?hho,它的右键快捷菜单与正常的IE图标不同:

    (4)在桌面创建广告网页的快捷方式文件:淘宝网今日打折特价区.lnk、非常好玩小游戏.lnk、免费电影.lnk、极品美媚图.lnk
    (5)往收藏夹添加:千千体育直播.lnk、九品高清网络电视.lnk
    (6)运行3.vbs
    (7)修改注册表
    HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/HideDesktopIcons/NewStartPanel/{871C5380-42A0-1069-A2EA-08002B30309D}
    HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/HideDesktopIcons/ClassicStartMenu/{871C5380-42A0-1069-A2EA-08002B30309D}
    并发送F5键刷新
    (8)在快速启动栏创建广告网页的快捷方式文件:
    超级好玩小游戏.lnk
    淘宝网今日打折特价区.lnk
    免费电影.lnk
    (9)往收藏夹添加:
    淘宝网 - 淘!我喜欢.url
    45575在线小游戏,最好玩最快的小游戏.url
    当当网 – 全球最大的中文网上书店&购物中心.url
    卓越亚马逊网上购物图书,手机,数码,家电,化妆品,钟表,首饰等在线销售.url
    看电视剧,最新最好的绿色免费电视剧网站.url
    最新绿色免费电影!高速高清!天天更新!!!.url
    极品美媚清纯写真!!美图大集合!.url
    最新免费在线小说阅读!!速度快内容丰富!!!.url
    (10)修改注册表,创建F2项。


      2、
    文件说明符 : C:/Program Files/systemfiles/3.bat
    属性 : A---
    数字签名:否
    PE文件:否
    创建时间 : 2010-2-8 18:27:10
    修改时间 : 2010-2-5 21:19:4
    大小 : 3612 字节 3.540 KB
    MD5 : ab7717fd438d173f5dc2b0c9aa6d035a
    SHA1: 44FF3FB753D4F61890EC51742CCF62D672DE7180
    CRC32: c364ef90


    文件 3.bat 接收于 2010.02.09 13:10:47 (UTC)

     

    反病毒引擎版本最后更新扫描结果
    a-squared4.5.0.502010.02.09-
    AhnLab-V35.0.0.22010.02.09-
    AntiVir7.9.1.1602010.02.09-
    Antiy-AVL2.0.3.72010.02.09-
    Authentium5.2.0.52010.02.09-
    Avast4.8.1351.02010.02.09-
    AVG9.0.0.7302010.02.09-
    BitDefender7.22010.02.09-
    CAT-QuickHeal10.002010.02.09-
    ClamAV0.96.0.0-git2010.02.09-
    Comodo38742010.02.09-
    DrWeb5.0.1.122222010.02.09-
    eSafe7.0.17.02010.02.07-
    eTrust-Vet35.2.72922010.02.09-
    F-Prot4.5.1.852010.02.08-
    F-Secure9.0.15370.02010.02.09-
    Fortinet4.0.14.02010.02.09-
    GData192010.02.09-
    IkarusT3.1.1.80.02010.02.09-
    Jiangmin13.0.9002010.02.08-
    K7AntiVirus7.10.9692010.02.08-
    Kaspersky7.0.0.1252010.02.09-
    McAfee58862010.02.08-
    McAfee+Artemis58862010.02.08-
    McAfee-GW-Edition6.8.52010.02.09-
    Microsoft1.54062010.02.09Trojan:BAT/Startpage.B
    NOD3248502010.02.09-
    Norman6.04.032010.02.09-
    nProtect2009.1.8.02010.02.09-
    Panda10.0.2.22010.02.07-
    PCTools7.0.3.52010.02.09-
    Prevx3.02010.02.09-
    Rising22.34.01.012010.02.09-
    Sophos4.50.02010.02.09-
    Sunbelt3.2.1858.22010.02.09-
    Symantec20091.2.0.412010.02.09-
    TheHacker6.5.1.1.1852010.02.09-
    TrendMicro9.120.0.10042010.02.09-
    VBA323.12.12.12010.02.08-
    ViRobot2010.2.9.21782010.02.09-
    VirusBuster5.0.21.02010.02.09-

     

    功能为:
    (1)强制删除桌面上的:
    Internet Explorer.lnk
    IEXPLORE.lnk
    IEXPLOREr.lnk
    Internet Exp*.lnk
    Internet*.lnk
    Internet *.url

    (2)强制删除开始菜单程序组中的:
    Internet*.lnk
    *Internet*.lnk
    Internet Explorer.url
    Internet Explorer.lnk

    (3)强制删除快速启动栏上的:
    Internet Explorer.url
    Internet Explorer.lnk

    (4)在桌面上创建 指向 hxxp://www.53ff.com/?hho 的 Internet Exp1orer.url

    (5)在快速启动栏上创建 指向 hxxp://www.53ff.com/?hho 的 Internet Exp1orer.url

    (6)在开始菜单程序组中创建指向 hxxp://www.53ff.com/?hho 的 Internet Exp1orer.url
    (7)修改注册表:
    将HKEY_CLASSES_ROOT/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/shell/OpenHomePage/Command的值改为:"%ProgramFiles%/Internet Explorer/iexplore.exe hxxp://www.53ff.com/?hho

    (8)强制删除快速启动栏上的:启动 Internet Explorer 浏览器.lnk
    (9)强制删除桌面上的:*Internet*.lnk
    (10)在开始菜单中创建指向 hxxp://www.53ff.com/?hho 的 Internet Exp1orer.url

     

      3、

      
    文件说明符 : C:/Program Files/systemfiles/3.vbs
    属性 : A---
    数字签名:否
    PE文件:否
    创建时间 : 2010-2-8 18:27:10
    修改时间 : 2010-2-5 20:43:20
    大小 : 2812 字节 2.764 KB
    MD5 : 86aeb8066ce39296ade59254f7212571
    SHA1: A0B86FB5F679C9A74A03ED3C43063ECAEA3F018F
    CRC32: c6af776f

    文件 3.vbs 接收于 2010.02.09 13:05:41 (UTC)

     

    反病毒引擎版本最后更新扫描结果
    a-squared4.5.0.502010.02.09Trojan.VBS.StartPage!IK
    AhnLab-V35.0.0.22010.02.09-
    AntiVir7.9.1.1602010.02.09-
    Antiy-AVL2.0.3.72010.02.09-
    Authentium5.2.0.52010.02.09-
    Avast4.8.1351.02010.02.09-
    AVG9.0.0.7302010.02.09-
    BitDefender7.22010.02.09-
    CAT-QuickHeal10.002010.02.09-
    ClamAV0.96.0.0-git2010.02.09-
    Comodo38742010.02.09-
    DrWeb5.0.1.122222010.02.09-
    eSafe7.0.17.02010.02.07-
    eTrust-Vet35.2.72922010.02.09-
    F-Prot4.5.1.852010.02.08-
    F-Secure9.0.15370.02010.02.09-
    Fortinet4.0.14.02010.02.09-
    GData192010.02.09-
    IkarusT3.1.1.80.02010.02.09Trojan.VBS.StartPage
    Jiangmin13.0.9002010.02.08-
    K7AntiVirus7.10.9692010.02.08-
    Kaspersky7.0.0.1252010.02.09-
    McAfee58862010.02.08-
    McAfee+Artemis58862010.02.08-
    McAfee-GW-Edition6.8.52010.02.09-
    Microsoft1.54062010.02.09Trojan:VBS/Startpage.G
    NOD3248502010.02.09-
    Norman6.04.032010.02.09-
    nProtect2009.1.8.02010.02.09-
    Panda10.0.2.22010.02.07-
    PCTools7.0.3.52010.02.09Trojan.Adclicker
    Prevx3.02010.02.09-
    Rising22.34.01.012010.02.09-
    Sophos4.50.02010.02.09Troj/VBSDl-B
    Sunbelt3.2.1858.22010.02.09-
    Symantec20091.2.0.412010.02.09Trojan.Adclicker
    TheHacker6.5.1.1.1852010.02.09-
    TrendMicro9.120.0.10042010.02.09-
    VBA323.12.12.12010.02.08-
    ViRobot2010.2.9.21782010.02.09-
    VirusBuster5.0.21.02010.02.09-


    功能为:
    (1)获取特殊文件夹“桌面”、“收藏夹”的说明符。
    (2)将桌面上所有扩展名为lnk的文件指向的目标修改为 hxxp://www.53ff.com/?hho
    (3)将快速启动栏上所有扩展名为lnk的文件指向的目标修改为 hxxp://www.53ff.com/?hho
    (4)将开始菜单上所有扩展名为lnk的文件指向的目标修改为 hxxp://www.53ff.com/?hho
    (6)调用Doits22255(),对下面的浏览器进行处理:
    TTraveler.exe
    SogouExplorer.exe
    TheWorld.exe
    Maxthon.exe
    360SE.exe

     

      4、

     

    文件说明符 : C:/Program Files/systemfiles/9ptvs1.exe
    属性 : A---
    数字签名:否
    PE文件:是
    获取文件版本信息大小失败!
    创建时间 : 2010-2-8 18:27:10
    修改时间 : 2010-2-6 21:40:48
    大小 : 3928071 字节 3.764 MB
    MD5 : 8cd430104b07827d188f63510fa4d9f5
    SHA1: 5900885143489970327A40ABAE6304DDF4B6B4A5
    CRC32: 687f1d47

    文件 9ptvs1.rar 接收于 2010.02.09 13:49:14 (UTC)

     

    反病毒引擎版本最后更新扫描结果
    a-squared4.5.0.502010.02.09-
    AhnLab-V35.0.0.22010.02.09-
    AntiVir7.9.1.1602010.02.09TR/Drop.Agent.38394
    Antiy-AVL2.0.3.72010.02.09-
    Authentium5.2.0.52010.02.09-
    Avast4.8.1351.02010.02.09-
    AVG9.0.0.7302010.02.09-
    BitDefender7.22010.02.09-
    CAT-QuickHeal10.002010.02.09-
    ClamAV0.96.0.0-git2010.02.09-
    Comodo38752010.02.09-
    DrWeb5.0.1.122222010.02.09-
    eSafe7.0.17.02010.02.07-
    eTrust-Vet35.2.72922010.02.09-
    F-Prot4.5.1.852010.02.09-
    F-Secure9.0.15370.02010.02.09-
    Fortinet4.0.14.02010.02.09-
    GData192010.02.09-
    IkarusT3.1.1.80.02010.02.09Virus.Win32.Delf
    Jiangmin13.0.9002010.02.08-
    K7AntiVirus7.10.9692010.02.08-
    Kaspersky7.0.0.1252010.02.09-
    McAfee58862010.02.08-
    McAfee+Artemis58862010.02.08Artemis!8CD430104B07
    McAfee-GW-Edition6.8.52010.02.09Trojan.Drop.Agent.38394
    Microsoft1.54062010.02.09-
    NOD3248502010.02.09-
    Norman6.04.032010.02.09-
    nProtect2009.1.8.02010.02.09-
    Panda10.0.2.22010.02.07-
    PCTools7.0.3.52010.02.09-
    Rising22.34.01.012010.02.09-
    Sophos4.50.02010.02.09Mal/Generic-A
    Sunbelt3.2.1858.22010.02.09-
    Symantec20091.2.0.412010.02.09Suspicious.Insight
    TheHacker6.5.1.1.1852010.02.09-
    TrendMicro9.120.0.10042010.02.09-
    VBA323.12.12.12010.02.08-
    ViRobot2010.2.9.21782010.02.09-
    VirusBuster5.0.21.02010.02.09-

     

    附加信息
    File size: 3885961 bytes
    MD5...: cd9ed4fb5f0fe496746b5057ebd912a8
    SHA1..: 4a439e1becd956174aeb155757c2e66d2dbe22ce
    SHA256: 56867e36bcb33e0b371b3dad1f62eb5627ff04b796547d61f55d172a45805e7c
    ssdeep: 98304:gam4q9SzscaOLLxjDI7VoeE0D/pcMUZFI7hCAddohwb5BhYV6dQV:3m4qV
    caWlDqVoeEmgKIA7AO54z
    PEiD..: -
    PEInfo: -
    RDS...: NSRL Reference Data Set
    -
    trid..: RAR Archive (83.3%)
    REALbasic Project (16.6%)
    packers (Kaspersky): UPX, PE_Patch.UPX, UPX
    pdfid.: -
    sigcheck:
    publisher....: n/a
    copyright....: n/a
    product......: n/a
    description..: n/a
    original name: n/a
    internal name: n/a
    file version.: n/a
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned
    packers (F-Prot): NSIS, UPX, UTF-8

     

      5、


    文件说明符 : C:/Program Files/systemfiles/ffate.exe
    属性 : A---
    数字签名:否
    PE文件:是
    获取文件版本信息大小失败!
    创建时间 : 2010-2-8 18:27:10
    修改时间 : 2010-2-5 20:54:24
    大小 : 504832 字节 493.0 KB
    MD5 : 944246b3426526bae101ae472cc9013e
    SHA1: A31D5F047B559E82A7D3DFAE1B4AE6689E5D4100
    CRC32: 2fa99a25

     

    文件 ffate.exe 接收于 2010.02.09 13:39:57 (UTC)

     

    反病毒引擎版本最后更新扫描结果
    a-squared4.5.0.502010.02.09-
    AhnLab-V35.0.0.22010.02.09-
    AntiVir7.9.1.1602010.02.09-
    Antiy-AVL2.0.3.72010.02.09-
    Authentium5.2.0.52010.02.09-
    Avast4.8.1351.02010.02.09-
    AVG9.0.0.7302010.02.09-
    BitDefender7.22010.02.09-
    CAT-QuickHeal10.002010.02.09-
    ClamAV0.96.0.0-git2010.02.09-
    Comodo38752010.02.09-
    DrWeb5.0.1.122222010.02.09-
    eSafe7.0.17.02010.02.07-
    eTrust-Vet35.2.72922010.02.09-
    F-Prot4.5.1.852010.02.09-
    F-Secure9.0.15370.02010.02.09-
    Fortinet4.0.14.02010.02.09-
    GData192010.02.09-
    IkarusT3.1.1.80.02010.02.09-
    Jiangmin13.0.9002010.02.08-
    K7AntiVirus7.10.9692010.02.08-
    Kaspersky7.0.0.1252010.02.09-
    McAfee58862010.02.08New Malware.gr
    McAfee+Artemis58862010.02.08Artemis!944246B34265
    McAfee-GW-Edition6.8.52010.02.09Heuristic.LooksLike.Win32.Backdoor.I
    Microsoft1.54062010.02.09-
    NOD3248502010.02.09-
    Norman6.04.032010.02.09-
    nProtect2009.1.8.02010.02.09-
    Panda10.0.2.22010.02.07-
    PCTools7.0.3.52010.02.09-
    Prevx3.02010.02.09-
    Rising22.34.01.012010.02.09-
    Sophos4.50.02010.02.09-
    Sunbelt3.2.1858.22010.02.09-
    Symantec20091.2.0.412010.02.09Suspicious.Insight
    TheHacker6.5.1.1.1852010.02.09-
    TrendMicro9.120.0.10042010.02.09-
    VBA323.12.12.12010.02.08Trojan-Downloader.Win32.Banload.aovl
    ViRobot2010.2.9.21782010.02.09-
    VirusBuster5.0.21.02010.02.09-

     

    附加信息
    File size: 504832 bytes
    MD5...: 944246b3426526bae101ae472cc9013e
    SHA1..: a31d5f047b559e82a7d3dfae1b4ae6689e5d4100
    SHA256: d0f9e1b34d29f75e3d0169a6d5f68716036015991bae92e245596d49c4a5f658
    ssdeep: 12288:Zunc4OJdx2Y8DdBXXEEY3TB4/aKb6aGn3zb:knO/xjGdBXn+2/Fb6T3z
    PEiD..: -
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x67e48
    timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
    machinetype.......: 0x14c (I386)

    ( 8 sections )
    name viradd virsiz rawdsiz ntrpy md5
    CODE 0x1000 0x66e98 0x67000 6.52 4b3aa3daea01fd630915a84dfc38a6f5
    DATA 0x68000 0x1be4 0x1c00 4.52 47670943517ef07e0077c3d3c9d54113
    BSS 0x6a000 0xf0d 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
    .idata 0x6b000 0x20e0 0x2200 4.94 2b6c1432a749304602fdd2b17bdafc26
    .tls 0x6e000 0x10 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
    .rdata 0x6f000 0x18 0x200 0.20 2ba170fb60af8e1fcb9c603111e999ca
    .reloc 0x70000 0x819c 0x8200 6.65 6a611a930fb0bdb69c3d8af72547a3ea
    .rsrc 0x79000 0x7e00 0x7e00 4.46 57795beb285ed9808771ee84c4e65ec5

    ( 14 imports )
    > kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, ExitThread, CreateThread, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle
    > user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA
    > advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
    > oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen
    > kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA
    > advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
    > kernel32.dll: lstrcpyA, WriteFile, WaitForSingleObject, VirtualQuery, VirtualAlloc, Sleep, SizeofResource, SetThreadLocale, SetFilePointer, SetEvent, SetErrorMode, SetEndOfFile, ResumeThread, ResetEvent, ReadFile, MulDiv, LockResource, LoadResource, LoadLibraryA, LeaveCriticalSection, InitializeCriticalSection, GlobalUnlock, GlobalReAlloc, GlobalHandle, GlobalLock, GlobalFree, GlobalFindAtomA, GlobalDeleteAtom, GlobalAlloc, GlobalAddAtomA, GetVersionExA, GetVersion, GetTimeZoneInformation, GetTickCount, GetThreadLocale, GetTempPathA, GetSystemInfo, GetStringTypeExA, GetStdHandle, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetFileSize, GetExitCodeThread, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCurrentProcessId, GetCPInfo, GetACP, FreeResource, InterlockedIncrement, InterlockedExchange, InterlockedDecrement, FreeLibrary, FormatMessageA, FindResourceA, FindFirstFileA, FindClose, FileTimeToLocalFileTime, FileTimeToDosDateTime, EnumCalendarInfoA, EnterCriticalSection, DeleteCriticalSection, CreateThread, CreateFileA, CreateEventA, CompareStringA, CloseHandle
    > version.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA
    > gdi32.dll: UnrealizeObject, StretchBlt, SetWindowOrgEx, SetViewportOrgEx, SetTextColor, SetStretchBltMode, SetROP2, SetPixel, SetDIBColorTable, SetBrushOrgEx, SetBkMode, SetBkColor, SelectPalette, SelectObject, SaveDC, RestoreDC, RectVisible, RealizePalette, PatBlt, MoveToEx, MaskBlt, LineTo, IntersectClipRect, GetWindowOrgEx, GetTextMetricsA, GetTextExtentPoint32A, GetSystemPaletteEntries, GetStockObject, GetPixel, GetPaletteEntries, GetObjectA, GetDeviceCaps, GetDIBits, GetDIBColorTable, GetDCOrgEx, GetCurrentPositionEx, GetClipBox, GetBrushOrgEx, GetBitmapBits, ExcludeClipRect, DeleteObject, DeleteDC, CreateSolidBrush, CreatePenIndirect, CreatePalette, CreateHalftonePalette, CreateFontIndirectA, CreateDIBitmap, CreateDIBSection, CreateCompatibleDC, CreateCompatibleBitmap, CreateBrushIndirect, CreateBitmap, BitBlt
    > user32.dll: CreateWindowExA, WindowFromPoint, WinHelpA, WaitMessage, UpdateWindow, UnregisterClassA, UnhookWindowsHookEx, TranslateMessage, TranslateMDISysAccel, TrackPopupMenu, SystemParametersInfoA, ShowWindow, ShowScrollBar, ShowOwnedPopups, ShowCursor, SetWindowsHookExA, SetWindowPos, SetWindowPlacement, SetWindowLongA, SetTimer, SetScrollRange, SetScrollPos, SetScrollInfo, SetRect, SetPropA, SetParent, SetMenuItemInfoA, SetMenu, SetForegroundWindow, SetFocus, SetCursor, SetClassLongA, SetCapture, SetActiveWindow, SendMessageA, ScrollWindow, ScreenToClient, RemovePropA, RemoveMenu, ReleaseDC, ReleaseCapture, RegisterWindowMessageA, RegisterClipboardFormatA, RegisterClassA, RedrawWindow, PtInRect, PostQuitMessage, PostMessageA, PeekMessageA, OffsetRect, OemToCharA, MsgWaitForMultipleObjects, MessageBoxA, MapWindowPoints, MapVirtualKeyA, LoadStringA, LoadKeyboardLayoutA, LoadIconA, LoadCursorA, LoadBitmapA, KillTimer, IsZoomed, IsWindowVisible, IsWindowEnabled, IsWindow, IsRectEmpty, IsIconic, IsDialogMessageA, IsChild, InvalidateRect, IntersectRect, InsertMenuItemA, InsertMenuA, InflateRect, GetWindowThreadProcessId, GetWindowTextA, GetWindowRect, GetWindowPlacement, GetWindowLongA, GetWindowDC, GetTopWindow, GetSystemMetrics, GetSystemMenu, GetSysColorBrush, GetSysColor, GetSubMenu, GetScrollRange, GetScrollPos, GetScrollInfo, GetPropA, GetParent, GetWindow, GetMenuStringA, GetMenuState, GetMenuItemInfoA, GetMenuItemID, GetMenuItemCount, GetMenu, GetLastActivePopup, GetKeyboardState, GetKeyboardLayoutList, GetKeyboardLayout, GetKeyState, GetKeyNameTextA, GetIconInfo, GetForegroundWindow, GetFocus, GetDesktopWindow, GetDCEx, GetDC, GetCursorPos, GetCursor, GetClientRect, GetClassNameA, GetClassInfoA, GetCapture, GetActiveWindow, FrameRect, FindWindowA, FillRect, EqualRect, EnumWindows, EnumThreadWindows, EndPaint, EnableWindow, EnableScrollBar, EnableMenuItem, DrawTextA, DrawMenuBar, DrawIconEx, DrawIcon, DrawFrameControl, DrawEdge, DispatchMessageA, DestroyWindow, DestroyMenu, DestroyIcon, DestroyCursor, DeleteMenu, DefWindowProcA, DefMDIChildProcA, DefFrameProcA, CreatePopupMenu, CreateMenu, CreateIcon, ClientToScreen, CheckMenuItem, CallWindowProcA, CallNextHookEx, BeginPaint, CharNextA, CharLowerA, CharUpperBuffA, CharToOemA, AdjustWindowRectEx, ActivateKeyboardLayout
    > kernel32.dll: Sleep
    > oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopy, VariantClear, VariantInit
    > comctl32.dll: ImageList_SetIconSize, ImageList_GetIconSize, ImageList_Write, ImageList_Read, ImageList_GetDragImage, ImageList_DragShowNolock, ImageList_SetDragCursorImage, ImageList_DragMove, ImageList_DragLeave, ImageList_DragEnter, ImageList_EndDrag, ImageList_BeginDrag, ImageList_Remove, ImageList_DrawEx, ImageList_Draw, ImageList_GetBkColor, ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Add, ImageList_GetImageCount, ImageList_Destroy, ImageList_Create, InitCommonControls
    > shell32.dll: ShellExecuteA

    ( 0 exports )
    RDS...: NSRL Reference Data Set
    -
    pdfid.: -
    sigcheck:
    publisher....: n/a
    copyright....: n/a
    product......: n/a
    description..: n/a
    original name: n/a
    internal name: n/a
    file version.: n/a
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned
    trid..: Win32 Executable Borland Delphi 7 (66.2%)
    Win32 Executable Borland Delphi 6 (25.9%)
    Win32 EXE PECompact compressed (generic) (4.1%)
    Win32 Executable Delphi generic (1.4%)
    Win32 Executable Generic (0.8%)

     

      6、


    文件说明符 : C:/Program Files/systemfiles/sys32.exe
    属性 : A---
    数字签名:否
    PE文件:是
    获取文件版本信息大小失败!
    创建时间 : 2010-2-8 18:27:10
    修改时间 : 2010-2-6 21:11:36
    大小 : 193361 字节 188.849 KB
    MD5 : ce43529db2daf47b586ff489bfa91177
    SHA1: 58E7843A1F5768D2D5202723DC939B752034290B
    CRC32: eed7e6ae


    文件 sys32.exe 接收于 2010.02.09 13:14:49 (UTC)

     

    反病毒引擎版本最后更新扫描结果
    a-squared4.5.0.502010.02.09-
    AhnLab-V35.0.0.22010.02.09-
    AntiVir7.9.1.1602010.02.09-
    Antiy-AVL2.0.3.72010.02.09-
    Authentium5.2.0.52010.02.09-
    Avast4.8.1351.02010.02.09-
    AVG9.0.0.7302010.02.09-
    BitDefender7.22010.02.09-
    CAT-QuickHeal10.002010.02.09-
    ClamAV0.96.0.0-git2010.02.09-
    Comodo38742010.02.09-
    DrWeb5.0.1.122222010.02.09-
    eSafe7.0.17.02010.02.07-
    eTrust-Vet35.2.72922010.02.09-
    F-Prot4.5.1.852010.02.09-
    F-Secure9.0.15370.02010.02.09-
    Fortinet4.0.14.02010.02.09-
    GData192010.02.09-
    IkarusT3.1.1.80.02010.02.09-
    Jiangmin13.0.9002010.02.08-
    K7AntiVirus7.10.9692010.02.08-
    Kaspersky7.0.0.1252010.02.09-
    McAfee58862010.02.08-
    McAfee+Artemis58862010.02.08-
    McAfee-GW-Edition6.8.52010.02.09-
    Microsoft1.54062010.02.09-
    NOD3248502010.02.09-
    Norman6.04.032010.02.09-
    nProtect2009.1.8.02010.02.09-
    Panda10.0.2.22010.02.07-
    PCTools7.0.3.52010.02.09-
    Rising22.34.01.012010.02.09-
    Sophos4.50.02010.02.09-
    Sunbelt3.2.1858.22010.02.09-
    Symantec20091.2.0.412010.02.09Suspicious.Insight
    TheHacker6.5.1.1.1852010.02.09-
    TrendMicro9.120.0.10042010.02.09-
    VBA323.12.12.12010.02.08-
    ViRobot2010.2.9.21782010.02.09-
    VirusBuster5.0.21.02010.02.09-
    附加信息
    File size: 193361 bytes
    MD5   : ce43529db2daf47b586ff489bfa91177
    SHA1  : 58e7843a1f5768d2d5202723dc939b752034290b
    SHA256: 21d39cb838626d42b9f43b3996cec911cda0fb0dbf90b3d1a430a1cc486f0242
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x30CB
    timedatestamp.....: 0x4A2AE29C (Sat Jun 6 23:41:48 2009)
    machinetype.......: 0x14C (Intel I386)

    ( 5 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0x58D2 0x5A00 6.43 c69726ed422d3dcfdec9731986daa752
    .rdata 0x7000 0x1190 0x1200 5.18 a2c7710fa66fcbb43c7ef0ab9eea5e9a
    .data 0x9000 0x1AF78 0x400 4.62 e59cdcb732e4bfbc84cc61dd68354f78
    .ndata 0x24000 0x8000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
    .rsrc 0x2C000 0x27D50 0x27E00 4.87 34e68d5c3a392f0c3f9d435e29038821

    ( 8 imports )

    > advapi32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA
    > comctl32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create
    > gdi32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject
    > kernel32.dll: CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, GetTickCount, GetFileSize, GetModuleFileNameA, GetCurrentProcess, CopyFileA, ExitProcess, GetWindowsDirectoryA, SetFileTime, GetCommandLineA, SetErrorMode, LoadLibraryA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, CreateFileA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, GetVersion, CloseHandle, lstrcmpiA, lstrcmpA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, GetModuleHandleA, LoadLibraryExA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetTempPathA
    > ole32.dll: CoTaskMemFree, OleInitialize, OleUninitialize, CoCreateInstance
    > shell32.dll: SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation
    > user32.dll: EndDialog, ScreenToClient, GetWindowRect, EnableMenuItem, GetSystemMenu, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, RegisterClassA, TrackPopupMenu, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxIndirectA, CharPrevA, DispatchMessageA, PeekMessageA, DestroyWindow, CreateDialogParamA, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, OpenClipboard, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow
    > version.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA

    ( 0 exports )
    TrID  : File type identification
    Win32 Executable MS Visual C++ (generic) (65.2%)
    Win32 Executable Generic (14.7%)
    Win32 Dynamic Link Library (generic) (13.1%)
    Generic Win/DOS Executable (3.4%)
    DOS Executable Generic (3.4%)
    ssdeep: 3072:PLk395hYXJJW8lOes5wR1XNAb5TSymoKeVnQ08Wl6fHYdhZ72Plqi4D8hC0olUkf:PQq3Hiha46PYdhZKPn8llUk8Dv+jGEDP
    PEiD  : -
    packers (F-Prot): NSIS
    RDS   : NSRL Reference Data Set
    -

     

      O30这种劫持IE的方式也已经出现很久了。

     

      三、修复


      1、删除桌面上的广告网页的快捷方式文件
      2、用Windows自带的“桌面清理”工具来删除桌面的两个IE浏览器的快捷方式。步骤如下:

      在桌面空白处右键单击,然后依次选择“属性→桌面→自定义桌面→现在清理桌面”,在打开的“清理桌面向导”中点“下一步”,然后在“快捷方式”区域选中桌面上的假IE图标,然后 下一步 → 完成。

      3、到http://endurer.ys168.com下载HijackThis修复 F2 和 O24项。

      4、运行注册表编辑器regedit,搜索:53ff.com,双击找到的项目,将值中的hxxp://www.53ff.com/?hho删除。
      5、 用WinRAR删除启动文件夹中的快捷方式文件腾讯QQ.lnk
      6、用WinRAR删除文件夹:C:/Program Files/systemfiles
      7、检修桌面、开始菜单程序、快速启动项上的快捷方式

     

      让网友重启电脑,这下电脑正常了。

               

    再分享一下我老师大神的人工智能教程吧。零基础!通俗易懂!风趣幽默!还带黄段子!希望你也加入到我们人工智能的队伍中来!https://blog.csdn.net/jiangjunshow

    展开全文
  • 删除FF新鲜事--备忘

    2019-02-21 12:10:44
    @echo off taskkill /f /t /im FlashHelper...然后在Flash安装路径下删除Flash Helper Service.exe,删除后会出现网页打不开的现象,我不知道自己怎么弄,所以用360的断网急救么什么东西的让它自己恢复一下就好了
    @echo off
    taskkill /f /t /im FlashHelperService.exe
    ping 127.0.0.1
    del /f /s /q C:\Windows\SysWOW64\Macromed\Flash\FlashHelperService.exe
    Reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_BROWSER_EMULATION" /v "FlashHelperService" /f
    Reg delete "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Flash Helper Service" /f
    Reg delete "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\Flash Helper Service" /f
    pause
    

    复制到txt文件中,然后另存为bat文件

    据说还收集信息,这么流氓????

    然后在Flash安装路径下删除Flash Helper Service.exe,删除后会出现网页打不开的现象,我不知道自己怎么弄,所以用360的断网急救么什么东西的让它自己恢复一下就好了

    展开全文
  • function del(){ var div1_2=document.getElementById("div1_2");//通过ID得到对象 var tmp = div1_2.parentNode;//得到对象的父节点 tmp.removeChild...//用父节点的removeChild方法删除删除的对象 //注意,因

     

     

     

     

    <HTML>
    <HEAD>


    </HEAD>
    <BODY id="body1">
    <input type="button" value="添加 for IE and FF and Opera" οnclick="add1()" />
    <input type="button" value="测试 only for IE and Opera" οnclick="add2()" />
    <input type="button" value="清空" οnclick="div1.innerHTML = ''; div2.innerHTML = ''; " />
    <div id="div1"></div>
    <div id="div2"></div>
    </BODY>

    <script>

    function del(){

      var div1_2=document.getElementById("div1_2");//通过ID得到对象
        var tmp = div1_2.parentNode;//得到对象的父节点
        tmp.removeChild(div1_2);//用父节点的removeChild方法删除要删除的对象
        //注意,因为代码中自动生成的DIV的ID全都是div1_2所以他们形成了一个数组,上面的删除代码相当于删除了div1_2[0]所以无论你点击的是哪个层的删除,将要删除的都是最上面的一个。
        //其实想解决这个问题只需要将代码稍做修改,但这不属于我这里要叙述的内容,所以就不在代码中出现。

    }
     
    var int_i=1; 
    function add1()
    {

    var buf="<div id=/"div1_2/" style=/"width:auto; height:50px; background:#000000; color:#ffffff;/"><span οnclick=/"del();/">测试"+int_i+"(点击关闭)</span>";
        buf+="<input type=/"text/" name=/"textfield/" /></div>";
        div1.innerHTML += buf;
      int_i++;
    }

    function add2()
    {

            var e = document.createElement('a');
            e.href = '';
            e.innerText = '测试2<br//>';
            div2.appendChild(e);

    }
    </script>

    </HTML>

    展开全文
  •  这个流氓软件不仅替换了图面上的IE浏览器图标,将首页篡改为hxxp://www.53ff.com/?hho,在Internet选项中将主页设置为空白页也不行,还在桌面上创建广告网页的快捷方式文件,这些文件删除后重启电脑又会出现。...

      一、网友求助


      一位网友本来是想下载一个软件,谁知道下载回来的竟然是流氓软件。

     

      这个流氓软件不仅替换了图面上的IE浏览器图标,将首页篡改为hxxp://www.53ff.com/?hho,在Internet选项中将主页设置为空白页也不行,还在桌面上创建广告网页的快捷方式文件,这些文件删除后重启电脑又会出现。

     

      用360卫士、windows优化大师、超级兔子、Windows清理助手来修复,都不能解决问题,于是请偶帮忙检修。

     

      二、分析


      通过QQ远程协助,在网友的电脑桌面上看到如下广告的图标:

     

     

      1、非常好玩小游戏

      指向: "%ProgramFiles%/Internet Explorer/iexplore.exe"hxxp://www.45575.com/?desk

     

      2、极品美媚图
      指向:"%ProgramFiles%/Internet Explorer/iexplore.exe" hxxp://www.93rt.com/?desk

     

      3、免费电影
      指向:"%ProgramFiles%/Internet Explorer/iexplore.exe"hxxp://www.kuku46.com/?we2

     
      4、淘宝网今日打折特价区
      指向:"%ProgramFiles%/Internet Explorer/iexplore.exe"hxxp://www.223224.com/taobao/?desk

     

      在回传这些广告网址时,QQ提示:

     

      警告:对方本次发送的消息中包含的网址被大量用户举报或存在较高安全风险,已经被QQ安全中心过滤。查看风险详情

     

    只好将网址中的半角“.”换成全角的“.”才能发回来。

     

      发现桌面上的IE图标是假的。指向:hxxp://www.53ff.com/?hho

     

     

      右击出现的快捷方式菜单也不同:

     

      桌面上创建广告网页的快捷方式文件删除后重启电脑又会出现,说明流氓软件还在网友的电脑中,并且每次开机时都自动运行并创建。

     

      所以先用360卫士检查开机启动项,没有发现可疑的。


      再用pe_xscan 扫描log,发现如下可疑项:

    /===
    pe_xscan 09-06-21 by Purple Endurer
    2010-2-9 18:49:49
    Windows XP Service Pack 2(5.1.2600)
    MSIE:8.0.6001.18702
    管理员用户组
    正常模式

    F2 - REG: system.ini: UserInit = <C:/WINDOWS/system32/userinit.exe,C:/Program Files/systemfiles/sys32.exe

    O4 - Startup: 腾讯QQ.lnk -> C:/Program Files/systemfiles/222.vbs

    O30 - IeOpenHomePage = C:/Program Files/Internet Explorer/iexplore.exe hxxp://www.53ff.com/?hho
    ===/


      O4项居然冒充或篡改了腾讯QQ在 开始/程序/启动 中的快捷方式文件腾讯QQ.lnk,但直接检查开始菜单的启动组是看不到这一项的。

     

      到 http://purpleendurer.ys168.com 下载FileInfo这个程序提取文件信息:

     

    文件说明符 : C:/Documents and Settings/Administrator/「开始」菜单/程序/启动/腾讯QQ.lnk
    属性 : --H-
    数字签名:否
    PE文件:否
    创建时间 : 2010-2-8 18:27:15
    修改时间 : 2010-2-8 18:27:16
    大小 : 1446 字节 1.422 KB
    MD5 : 0e93a85d5122a5576b13abed1229fe0f
    SHA1: 5B6537D85C942D54AC353B89F7CA84526FCFBDF2
    CRC32: bcfb2e4d

     

    原来腾讯QQ.lnk这个文件具有隐藏(H)隐性。不过360卫士检测不出来就讲不过去了罢?

     

      用WinRAR浏览C:/Documents and Settings/Administrator/「开始」菜单/程序/启动,可以看到腾讯QQ.lnk这个文件。

     


      腾讯QQ.lnk指向的文件222.vbs与F2项中的可疑文件sys32.exe都位于C:/Program Files/systemfiles中。

     

      F2项这种恶意程序加载方式已经出现N年了,360卫士不仅防不住,还检测不出来。

     

      用WinRAR浏览C:/Program Files/systemfiles,里面的东东还不少:

     

     

      1、

      
    文件说明符 : C:/Program Files/systemfiles/222.vbs
    属性 : A---
    数字签名:否
    PE文件:否
    创建时间 : 2010-2-8 18:27:10
    修改时间 : 2010-2-6 22:27:30
    大小 : 9181 字节 8.989 KB
    MD5 : 2d5689603ecd6136b4e97151d86a87ef
    SHA1: E1B795DB6912D9F43D36E8B9DE4FB209A0D10DCA
    CRC32: ff6e48bc

    文件 222.vbs 接收于 2010.02.09 12:58:03 (UTC)

     

    反病毒引擎 版本 最后更新 扫描结果
    a-squared 4.5.0.50 2010.02.09 Trojan.VBS.StartPage!IK
    AhnLab-V3 5.0.0.2 2010.02.09 -
    AntiVir 7.9.1.160 2010.02.09 -
    Antiy-AVL 2.0.3.7 2010.02.09 -
    Authentium 5.2.0.5 2010.02.09 -
    Avast 4.8.1351.0 2010.02.09 -
    AVG 9.0.0.730 2010.02.09 -
    BitDefender 7.2 2010.02.09 -
    CAT-QuickHeal 10.00 2010.02.09 -
    ClamAV 0.96.0.0-git 2010.02.09 -
    Comodo 3874 2010.02.09 -
    DrWeb 5.0.1.12222 2010.02.09 -
    eSafe 7.0.17.0 2010.02.07 -
    eTrust-Vet 35.2.7292 2010.02.09 -
    F-Prot 4.5.1.85 2010.02.08 -
    F-Secure 9.0.15370.0 2010.02.09 -
    Fortinet 4.0.14.0 2010.02.09 -
    GData 19 2010.02.09 -
    Ikarus T3.1.1.80.0 2010.02.09 Trojan.VBS.StartPage
    Jiangmin 13.0.900 2010.02.08 -
    K7AntiVirus 7.10.969 2010.02.08 -
    Kaspersky 7.0.0.125 2010.02.09 -
    McAfee 5886 2010.02.08 -
    McAfee+Artemis 5886 2010.02.08 -
    McAfee-GW-Edition 6.8.5 2010.02.09 -
    Microsoft 1.5406 2010.02.09 Trojan:VBS/Startpage.H
    NOD32 4850 2010.02.09 -
    Norman 6.04.03 2010.02.09 -
    nProtect 2009.1.8.0 2010.02.09 -
    Panda 10.0.2.2 2010.02.07 -
    PCTools 7.0.3.5 2010.02.09 Trojan.Adclicker
    Prevx 3.0 2010.02.09 -
    Rising 22.34.01.01 2010.02.09 AdWare.Script.VBS.AdLinks.f
    Sophos 4.50.0 2010.02.09 -
    Sunbelt 3.2.1858.2 2010.02.09 -
    Symantec 20091.2.0.41 2010.02.09 Trojan.Adclicker
    TheHacker 6.5.1.1.185 2010.02.09 -
    TrendMicro 9.120.0.1004 2010.02.09 -
    VBA32 3.12.12.1 2010.02.08 -
    ViRobot 2010.2.9.2178 2010.02.09 -
    VirusBuster 5.0.21.0 2010.02.09 -

     

    功能为:
    (1)获取特殊文件夹“桌面”、“收藏夹”的说明符。
    (2)运行3.bat
    (3)修改注册表HKCR/CLSID/{86AEFBE8-763F-0647-899C-A93278894D8E},在桌面上创建一个无法删除的IE图标,在运行时自动打开hxxp://www.53ff.com/?hho,它的右键快捷菜单与正常的IE图标不同:

    (4)在桌面创建广告网页的快捷方式文件:淘宝网今日打折特价区.lnk、非常好玩小游戏.lnk、免费电影.lnk、极品美媚图.lnk
    (5)往收藏夹添加:千千体育直播.lnk、九品高清网络电视.lnk
    (6)运行3.vbs
    (7)修改注册表
    HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/HideDesktopIcons/NewStartPanel/{871C5380-42A0-1069-A2EA-08002B30309D}
    HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/HideDesktopIcons/ClassicStartMenu/{871C5380-42A0-1069-A2EA-08002B30309D}
    并发送F5键刷新
    (8)在快速启动栏创建广告网页的快捷方式文件:
    超级好玩小游戏.lnk
    淘宝网今日打折特价区.lnk
    免费电影.lnk
    (9)往收藏夹添加:
    淘宝网 - 淘!我喜欢.url
    45575在线小游戏,最好玩最快的小游戏.url
    当当网 – 全球最大的中文网上书店&购物中心.url
    卓越亚马逊网上购物图书,手机,数码,家电,化妆品,钟表,首饰等在线销售.url
    看电视剧,最新最好的绿色免费电视剧网站.url
    最新绿色免费电影!高速高清!天天更新!!!.url
    极品美媚清纯写真!!美图大集合!.url
    最新免费在线小说阅读!!速度快内容丰富!!!.url
    (10)修改注册表,创建F2项。


      2、
    文件说明符 : C:/Program Files/systemfiles/3.bat
    属性 : A---
    数字签名:否
    PE文件:否
    创建时间 : 2010-2-8 18:27:10
    修改时间 : 2010-2-5 21:19:4
    大小 : 3612 字节 3.540 KB
    MD5 : ab7717fd438d173f5dc2b0c9aa6d035a
    SHA1: 44FF3FB753D4F61890EC51742CCF62D672DE7180
    CRC32: c364ef90


    文件 3.bat 接收于 2010.02.09 13:10:47 (UTC)

     

    反病毒引擎 版本 最后更新 扫描结果
    a-squared 4.5.0.50 2010.02.09 -
    AhnLab-V3 5.0.0.2 2010.02.09 -
    AntiVir 7.9.1.160 2010.02.09 -
    Antiy-AVL 2.0.3.7 2010.02.09 -
    Authentium 5.2.0.5 2010.02.09 -
    Avast 4.8.1351.0 2010.02.09 -
    AVG 9.0.0.730 2010.02.09 -
    BitDefender 7.2 2010.02.09 -
    CAT-QuickHeal 10.00 2010.02.09 -
    ClamAV 0.96.0.0-git 2010.02.09 -
    Comodo 3874 2010.02.09 -
    DrWeb 5.0.1.12222 2010.02.09 -
    eSafe 7.0.17.0 2010.02.07 -
    eTrust-Vet 35.2.7292 2010.02.09 -
    F-Prot 4.5.1.85 2010.02.08 -
    F-Secure 9.0.15370.0 2010.02.09 -
    Fortinet 4.0.14.0 2010.02.09 -
    GData 19 2010.02.09 -
    Ikarus T3.1.1.80.0 2010.02.09 -
    Jiangmin 13.0.900 2010.02.08 -
    K7AntiVirus 7.10.969 2010.02.08 -
    Kaspersky 7.0.0.125 2010.02.09 -
    McAfee 5886 2010.02.08 -
    McAfee+Artemis 5886 2010.02.08 -
    McAfee-GW-Edition 6.8.5 2010.02.09 -
    Microsoft 1.5406 2010.02.09 Trojan:BAT/Startpage.B
    NOD32 4850 2010.02.09 -
    Norman 6.04.03 2010.02.09 -
    nProtect 2009.1.8.0 2010.02.09 -
    Panda 10.0.2.2 2010.02.07 -
    PCTools 7.0.3.5 2010.02.09 -
    Prevx 3.0 2010.02.09 -
    Rising 22.34.01.01 2010.02.09 -
    Sophos 4.50.0 2010.02.09 -
    Sunbelt 3.2.1858.2 2010.02.09 -
    Symantec 20091.2.0.41 2010.02.09 -
    TheHacker 6.5.1.1.185 2010.02.09 -
    TrendMicro 9.120.0.1004 2010.02.09 -
    VBA32 3.12.12.1 2010.02.08 -
    ViRobot 2010.2.9.2178 2010.02.09 -
    VirusBuster 5.0.21.0 2010.02.09 -

     

    功能为:
    (1)强制删除桌面上的:
    Internet Explorer.lnk
    IEXPLORE.lnk
    IEXPLOREr.lnk
    Internet Exp*.lnk
    Internet*.lnk
    Internet *.url

    (2)强制删除开始菜单程序组中的:
    Internet*.lnk
    *Internet*.lnk
    Internet Explorer.url
    Internet Explorer.lnk

    (3)强制删除快速启动栏上的:
    Internet Explorer.url
    Internet Explorer.lnk

    (4)在桌面上创建 指向 hxxp://www.53ff.com/?hho 的 Internet Exp1orer.url

    (5)在快速启动栏上创建 指向 hxxp://www.53ff.com/?hho 的 Internet Exp1orer.url

    (6)在开始菜单程序组中创建指向 hxxp://www.53ff.com/?hho 的 Internet Exp1orer.url
    (7)修改注册表:
    将HKEY_CLASSES_ROOT/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/shell/OpenHomePage/Command的值改为:"%ProgramFiles%/Internet Explorer/iexplore.exe hxxp://www.53ff.com/?hho

    (8)强制删除快速启动栏上的:启动 Internet Explorer 浏览器.lnk
    (9)强制删除桌面上的:*Internet*.lnk
    (10)在开始菜单中创建指向 hxxp://www.53ff.com/?hho 的 Internet Exp1orer.url

     

      3、

      
    文件说明符 : C:/Program Files/systemfiles/3.vbs
    属性 : A---
    数字签名:否
    PE文件:否
    创建时间 : 2010-2-8 18:27:10
    修改时间 : 2010-2-5 20:43:20
    大小 : 2812 字节 2.764 KB
    MD5 : 86aeb8066ce39296ade59254f7212571
    SHA1: A0B86FB5F679C9A74A03ED3C43063ECAEA3F018F
    CRC32: c6af776f

    文件 3.vbs 接收于 2010.02.09 13:05:41 (UTC)

     

    反病毒引擎 版本 最后更新 扫描结果
    a-squared 4.5.0.50 2010.02.09 Trojan.VBS.StartPage!IK
    AhnLab-V3 5.0.0.2 2010.02.09 -
    AntiVir 7.9.1.160 2010.02.09 -
    Antiy-AVL 2.0.3.7 2010.02.09 -
    Authentium 5.2.0.5 2010.02.09 -
    Avast 4.8.1351.0 2010.02.09 -
    AVG 9.0.0.730 2010.02.09 -
    BitDefender 7.2 2010.02.09 -
    CAT-QuickHeal 10.00 2010.02.09 -
    ClamAV 0.96.0.0-git 2010.02.09 -
    Comodo 3874 2010.02.09 -
    DrWeb 5.0.1.12222 2010.02.09 -
    eSafe 7.0.17.0 2010.02.07 -
    eTrust-Vet 35.2.7292 2010.02.09 -
    F-Prot 4.5.1.85 2010.02.08 -
    F-Secure 9.0.15370.0 2010.02.09 -
    Fortinet 4.0.14.0 2010.02.09 -
    GData 19 2010.02.09 -
    Ikarus T3.1.1.80.0 2010.02.09 Trojan.VBS.StartPage
    Jiangmin 13.0.900 2010.02.08 -
    K7AntiVirus 7.10.969 2010.02.08 -
    Kaspersky 7.0.0.125 2010.02.09 -
    McAfee 5886 2010.02.08 -
    McAfee+Artemis 5886 2010.02.08 -
    McAfee-GW-Edition 6.8.5 2010.02.09 -
    Microsoft 1.5406 2010.02.09 Trojan:VBS/Startpage.G
    NOD32 4850 2010.02.09 -
    Norman 6.04.03 2010.02.09 -
    nProtect 2009.1.8.0 2010.02.09 -
    Panda 10.0.2.2 2010.02.07 -
    PCTools 7.0.3.5 2010.02.09 Trojan.Adclicker
    Prevx 3.0 2010.02.09 -
    Rising 22.34.01.01 2010.02.09 -
    Sophos 4.50.0 2010.02.09 Troj/VBSDl-B
    Sunbelt 3.2.1858.2 2010.02.09 -
    Symantec 20091.2.0.41 2010.02.09 Trojan.Adclicker
    TheHacker 6.5.1.1.185 2010.02.09 -
    TrendMicro 9.120.0.1004 2010.02.09 -
    VBA32 3.12.12.1 2010.02.08 -
    ViRobot 2010.2.9.2178 2010.02.09 -
    VirusBuster 5.0.21.0 2010.02.09 -


    功能为:
    (1)获取特殊文件夹“桌面”、“收藏夹”的说明符。
    (2)将桌面上所有扩展名为lnk的文件指向的目标修改为 hxxp://www.53ff.com/?hho
    (3)将快速启动栏上所有扩展名为lnk的文件指向的目标修改为 hxxp://www.53ff.com/?hho
    (4)将开始菜单上所有扩展名为lnk的文件指向的目标修改为 hxxp://www.53ff.com/?hho
    (6)调用Doits22255(),对下面的浏览器进行处理:
    TTraveler.exe
    SogouExplorer.exe
    TheWorld.exe
    Maxthon.exe
    360SE.exe

     

      4、

     

    文件说明符 : C:/Program Files/systemfiles/9ptvs1.exe
    属性 : A---
    数字签名:否
    PE文件:是
    获取文件版本信息大小失败!
    创建时间 : 2010-2-8 18:27:10
    修改时间 : 2010-2-6 21:40:48
    大小 : 3928071 字节 3.764 MB
    MD5 : 8cd430104b07827d188f63510fa4d9f5
    SHA1: 5900885143489970327A40ABAE6304DDF4B6B4A5
    CRC32: 687f1d47

    文件 9ptvs1.rar 接收于 2010.02.09 13:49:14 (UTC)

     

    反病毒引擎 版本 最后更新 扫描结果
    a-squared 4.5.0.50 2010.02.09 -
    AhnLab-V3 5.0.0.2 2010.02.09 -
    AntiVir 7.9.1.160 2010.02.09 TR/Drop.Agent.38394
    Antiy-AVL 2.0.3.7 2010.02.09 -
    Authentium 5.2.0.5 2010.02.09 -
    Avast 4.8.1351.0 2010.02.09 -
    AVG 9.0.0.730 2010.02.09 -
    BitDefender 7.2 2010.02.09 -
    CAT-QuickHeal 10.00 2010.02.09 -
    ClamAV 0.96.0.0-git 2010.02.09 -
    Comodo 3875 2010.02.09 -
    DrWeb 5.0.1.12222 2010.02.09 -
    eSafe 7.0.17.0 2010.02.07 -
    eTrust-Vet 35.2.7292 2010.02.09 -
    F-Prot 4.5.1.85 2010.02.09 -
    F-Secure 9.0.15370.0 2010.02.09 -
    Fortinet 4.0.14.0 2010.02.09 -
    GData 19 2010.02.09 -
    Ikarus T3.1.1.80.0 2010.02.09 Virus.Win32.Delf
    Jiangmin 13.0.900 2010.02.08 -
    K7AntiVirus 7.10.969 2010.02.08 -
    Kaspersky 7.0.0.125 2010.02.09 -
    McAfee 5886 2010.02.08 -
    McAfee+Artemis 5886 2010.02.08 Artemis!8CD430104B07
    McAfee-GW-Edition 6.8.5 2010.02.09 Trojan.Drop.Agent.38394
    Microsoft 1.5406 2010.02.09 -
    NOD32 4850 2010.02.09 -
    Norman 6.04.03 2010.02.09 -
    nProtect 2009.1.8.0 2010.02.09 -
    Panda 10.0.2.2 2010.02.07 -
    PCTools 7.0.3.5 2010.02.09 -
    Rising 22.34.01.01 2010.02.09 -
    Sophos 4.50.0 2010.02.09 Mal/Generic-A
    Sunbelt 3.2.1858.2 2010.02.09 -
    Symantec 20091.2.0.41 2010.02.09 Suspicious.Insight
    TheHacker 6.5.1.1.185 2010.02.09 -
    TrendMicro 9.120.0.1004 2010.02.09 -
    VBA32 3.12.12.1 2010.02.08 -
    ViRobot 2010.2.9.2178 2010.02.09 -
    VirusBuster 5.0.21.0 2010.02.09 -

     

    附加信息
    File size: 3885961 bytes
    MD5...: cd9ed4fb5f0fe496746b5057ebd912a8
    SHA1..: 4a439e1becd956174aeb155757c2e66d2dbe22ce
    SHA256: 56867e36bcb33e0b371b3dad1f62eb5627ff04b796547d61f55d172a45805e7c
    ssdeep: 98304:gam4q9SzscaOLLxjDI7VoeE0D/pcMUZFI7hCAddohwb5BhYV6dQV:3m4qV
    caWlDqVoeEmgKIA7AO54z
    PEiD..: -
    PEInfo: -
    RDS...: NSRL Reference Data Set
    -
    trid..: RAR Archive (83.3%)
    REALbasic Project (16.6%)
    packers (Kaspersky): UPX, PE_Patch.UPX, UPX
    pdfid.: -
    sigcheck:
    publisher....: n/a
    copyright....: n/a
    product......: n/a
    description..: n/a
    original name: n/a
    internal name: n/a
    file version.: n/a
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned
    packers (F-Prot): NSIS, UPX, UTF-8

     

      5、


    文件说明符 : C:/Program Files/systemfiles/ffate.exe
    属性 : A---
    数字签名:否
    PE文件:是
    获取文件版本信息大小失败!
    创建时间 : 2010-2-8 18:27:10
    修改时间 : 2010-2-5 20:54:24
    大小 : 504832 字节 493.0 KB
    MD5 : 944246b3426526bae101ae472cc9013e
    SHA1: A31D5F047B559E82A7D3DFAE1B4AE6689E5D4100
    CRC32: 2fa99a25

     

    文件 ffate.exe 接收于 2010.02.09 13:39:57 (UTC)

     

    反病毒引擎 版本 最后更新 扫描结果
    a-squared 4.5.0.50 2010.02.09 -
    AhnLab-V3 5.0.0.2 2010.02.09 -
    AntiVir 7.9.1.160 2010.02.09 -
    Antiy-AVL 2.0.3.7 2010.02.09 -
    Authentium 5.2.0.5 2010.02.09 -
    Avast 4.8.1351.0 2010.02.09 -
    AVG 9.0.0.730 2010.02.09 -
    BitDefender 7.2 2010.02.09 -
    CAT-QuickHeal 10.00 2010.02.09 -
    ClamAV 0.96.0.0-git 2010.02.09 -
    Comodo 3875 2010.02.09 -
    DrWeb 5.0.1.12222 2010.02.09 -
    eSafe 7.0.17.0 2010.02.07 -
    eTrust-Vet 35.2.7292 2010.02.09 -
    F-Prot 4.5.1.85 2010.02.09 -
    F-Secure 9.0.15370.0 2010.02.09 -
    Fortinet 4.0.14.0 2010.02.09 -
    GData 19 2010.02.09 -
    Ikarus T3.1.1.80.0 2010.02.09 -
    Jiangmin 13.0.900 2010.02.08 -
    K7AntiVirus 7.10.969 2010.02.08 -
    Kaspersky 7.0.0.125 2010.02.09 -
    McAfee 5886 2010.02.08 New Malware.gr
    McAfee+Artemis 5886 2010.02.08 Artemis!944246B34265
    McAfee-GW-Edition 6.8.5 2010.02.09 Heuristic.LooksLike.Win32.Backdoor.I
    Microsoft 1.5406 2010.02.09 -
    NOD32 4850 2010.02.09 -
    Norman 6.04.03 2010.02.09 -
    nProtect 2009.1.8.0 2010.02.09 -
    Panda 10.0.2.2 2010.02.07 -
    PCTools 7.0.3.5 2010.02.09 -
    Prevx 3.0 2010.02.09 -
    Rising 22.34.01.01 2010.02.09 -
    Sophos 4.50.0 2010.02.09 -
    Sunbelt 3.2.1858.2 2010.02.09 -
    Symantec 20091.2.0.41 2010.02.09 Suspicious.Insight
    TheHacker 6.5.1.1.185 2010.02.09 -
    TrendMicro 9.120.0.1004 2010.02.09 -
    VBA32 3.12.12.1 2010.02.08 Trojan-Downloader.Win32.Banload.aovl
    ViRobot 2010.2.9.2178 2010.02.09 -
    VirusBuster 5.0.21.0 2010.02.09 -

     

    附加信息
    File size: 504832 bytes
    MD5...: 944246b3426526bae101ae472cc9013e
    SHA1..: a31d5f047b559e82a7d3dfae1b4ae6689e5d4100
    SHA256: d0f9e1b34d29f75e3d0169a6d5f68716036015991bae92e245596d49c4a5f658
    ssdeep: 12288:Zunc4OJdx2Y8DdBXXEEY3TB4/aKb6aGn3zb:knO/xjGdBXn+2/Fb6T3z
    PEiD..: -
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x67e48
    timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
    machinetype.......: 0x14c (I386)

    ( 8 sections )
    name viradd virsiz rawdsiz ntrpy md5
    CODE 0x1000 0x66e98 0x67000 6.52 4b3aa3daea01fd630915a84dfc38a6f5
    DATA 0x68000 0x1be4 0x1c00 4.52 47670943517ef07e0077c3d3c9d54113
    BSS 0x6a000 0xf0d 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
    .idata 0x6b000 0x20e0 0x2200 4.94 2b6c1432a749304602fdd2b17bdafc26
    .tls 0x6e000 0x10 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
    .rdata 0x6f000 0x18 0x200 0.20 2ba170fb60af8e1fcb9c603111e999ca
    .reloc 0x70000 0x819c 0x8200 6.65 6a611a930fb0bdb69c3d8af72547a3ea
    .rsrc 0x79000 0x7e00 0x7e00 4.46 57795beb285ed9808771ee84c4e65ec5

    ( 14 imports )
    > kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, GetVersion, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, ExitThread, CreateThread, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle
    > user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA
    > advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
    > oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen
    > kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA
    > advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
    > kernel32.dll: lstrcpyA, WriteFile, WaitForSingleObject, VirtualQuery, VirtualAlloc, Sleep, SizeofResource, SetThreadLocale, SetFilePointer, SetEvent, SetErrorMode, SetEndOfFile, ResumeThread, ResetEvent, ReadFile, MulDiv, LockResource, LoadResource, LoadLibraryA, LeaveCriticalSection, InitializeCriticalSection, GlobalUnlock, GlobalReAlloc, GlobalHandle, GlobalLock, GlobalFree, GlobalFindAtomA, GlobalDeleteAtom, GlobalAlloc, GlobalAddAtomA, GetVersionExA, GetVersion, GetTimeZoneInformation, GetTickCount, GetThreadLocale, GetTempPathA, GetSystemInfo, GetStringTypeExA, GetStdHandle, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLocalTime, GetLastError, GetFullPathNameA, GetFileSize, GetExitCodeThread, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCurrentProcessId, GetCPInfo, GetACP, FreeResource, InterlockedIncrement, InterlockedExchange, InterlockedDecrement, FreeLibrary, FormatMessageA, FindResourceA, FindFirstFileA, FindClose, FileTimeToLocalFileTime, FileTimeToDosDateTime, EnumCalendarInfoA, EnterCriticalSection, DeleteCriticalSection, CreateThread, CreateFileA, CreateEventA, CompareStringA, CloseHandle
    > version.dll: VerQueryValueA, GetFileVersionInfoSizeA, GetFileVersionInfoA
    > gdi32.dll: UnrealizeObject, StretchBlt, SetWindowOrgEx, SetViewportOrgEx, SetTextColor, SetStretchBltMode, SetROP2, SetPixel, SetDIBColorTable, SetBrushOrgEx, SetBkMode, SetBkColor, SelectPalette, SelectObject, SaveDC, RestoreDC, RectVisible, RealizePalette, PatBlt, MoveToEx, MaskBlt, LineTo, IntersectClipRect, GetWindowOrgEx, GetTextMetricsA, GetTextExtentPoint32A, GetSystemPaletteEntries, GetStockObject, GetPixel, GetPaletteEntries, GetObjectA, GetDeviceCaps, GetDIBits, GetDIBColorTable, GetDCOrgEx, GetCurrentPositionEx, GetClipBox, GetBrushOrgEx, GetBitmapBits, ExcludeClipRect, DeleteObject, DeleteDC, CreateSolidBrush, CreatePenIndirect, CreatePalette, CreateHalftonePalette, CreateFontIndirectA, CreateDIBitmap, CreateDIBSection, CreateCompatibleDC, CreateCompatibleBitmap, CreateBrushIndirect, CreateBitmap, BitBlt
    > user32.dll: CreateWindowExA, WindowFromPoint, WinHelpA, WaitMessage, UpdateWindow, UnregisterClassA, UnhookWindowsHookEx, TranslateMessage, TranslateMDISysAccel, TrackPopupMenu, SystemParametersInfoA, ShowWindow, ShowScrollBar, ShowOwnedPopups, ShowCursor, SetWindowsHookExA, SetWindowPos, SetWindowPlacement, SetWindowLongA, SetTimer, SetScrollRange, SetScrollPos, SetScrollInfo, SetRect, SetPropA, SetParent, SetMenuItemInfoA, SetMenu, SetForegroundWindow, SetFocus, SetCursor, SetClassLongA, SetCapture, SetActiveWindow, SendMessageA, ScrollWindow, ScreenToClient, RemovePropA, RemoveMenu, ReleaseDC, ReleaseCapture, RegisterWindowMessageA, RegisterClipboardFormatA, RegisterClassA, RedrawWindow, PtInRect, PostQuitMessage, PostMessageA, PeekMessageA, OffsetRect, OemToCharA, MsgWaitForMultipleObjects, MessageBoxA, MapWindowPoints, MapVirtualKeyA, LoadStringA, LoadKeyboardLayoutA, LoadIconA, LoadCursorA, LoadBitmapA, KillTimer, IsZoomed, IsWindowVisible, IsWindowEnabled, IsWindow, IsRectEmpty, IsIconic, IsDialogMessageA, IsChild, InvalidateRect, IntersectRect, InsertMenuItemA, InsertMenuA, InflateRect, GetWindowThreadProcessId, GetWindowTextA, GetWindowRect, GetWindowPlacement, GetWindowLongA, GetWindowDC, GetTopWindow, GetSystemMetrics, GetSystemMenu, GetSysColorBrush, GetSysColor, GetSubMenu, GetScrollRange, GetScrollPos, GetScrollInfo, GetPropA, GetParent, GetWindow, GetMenuStringA, GetMenuState, GetMenuItemInfoA, GetMenuItemID, GetMenuItemCount, GetMenu, GetLastActivePopup, GetKeyboardState, GetKeyboardLayoutList, GetKeyboardLayout, GetKeyState, GetKeyNameTextA, GetIconInfo, GetForegroundWindow, GetFocus, GetDesktopWindow, GetDCEx, GetDC, GetCursorPos, GetCursor, GetClientRect, GetClassNameA, GetClassInfoA, GetCapture, GetActiveWindow, FrameRect, FindWindowA, FillRect, EqualRect, EnumWindows, EnumThreadWindows, EndPaint, EnableWindow, EnableScrollBar, EnableMenuItem, DrawTextA, DrawMenuBar, DrawIconEx, DrawIcon, DrawFrameControl, DrawEdge, DispatchMessageA, DestroyWindow, DestroyMenu, DestroyIcon, DestroyCursor, DeleteMenu, DefWindowProcA, DefMDIChildProcA, DefFrameProcA, CreatePopupMenu, CreateMenu, CreateIcon, ClientToScreen, CheckMenuItem, CallWindowProcA, CallNextHookEx, BeginPaint, CharNextA, CharLowerA, CharUpperBuffA, CharToOemA, AdjustWindowRectEx, ActivateKeyboardLayout
    > kernel32.dll: Sleep
    > oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopy, VariantClear, VariantInit
    > comctl32.dll: ImageList_SetIconSize, ImageList_GetIconSize, ImageList_Write, ImageList_Read, ImageList_GetDragImage, ImageList_DragShowNolock, ImageList_SetDragCursorImage, ImageList_DragMove, ImageList_DragLeave, ImageList_DragEnter, ImageList_EndDrag, ImageList_BeginDrag, ImageList_Remove, ImageList_DrawEx, ImageList_Draw, ImageList_GetBkColor, ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Add, ImageList_GetImageCount, ImageList_Destroy, ImageList_Create, InitCommonControls
    > shell32.dll: ShellExecuteA

    ( 0 exports )
    RDS...: NSRL Reference Data Set
    -
    pdfid.: -
    sigcheck:
    publisher....: n/a
    copyright....: n/a
    product......: n/a
    description..: n/a
    original name: n/a
    internal name: n/a
    file version.: n/a
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned
    trid..: Win32 Executable Borland Delphi 7 (66.2%)
    Win32 Executable Borland Delphi 6 (25.9%)
    Win32 EXE PECompact compressed (generic) (4.1%)
    Win32 Executable Delphi generic (1.4%)
    Win32 Executable Generic (0.8%)

     

      6、


    文件说明符 : C:/Program Files/systemfiles/sys32.exe
    属性 : A---
    数字签名:否
    PE文件:是
    获取文件版本信息大小失败!
    创建时间 : 2010-2-8 18:27:10
    修改时间 : 2010-2-6 21:11:36
    大小 : 193361 字节 188.849 KB
    MD5 : ce43529db2daf47b586ff489bfa91177
    SHA1: 58E7843A1F5768D2D5202723DC939B752034290B
    CRC32: eed7e6ae


    文件 sys32.exe 接收于 2010.02.09 13:14:49 (UTC)

     

    反病毒引擎 版本 最后更新 扫描结果
    a-squared 4.5.0.50 2010.02.09 -
    AhnLab-V3 5.0.0.2 2010.02.09 -
    AntiVir 7.9.1.160 2010.02.09 -
    Antiy-AVL 2.0.3.7 2010.02.09 -
    Authentium 5.2.0.5 2010.02.09 -
    Avast 4.8.1351.0 2010.02.09 -
    AVG 9.0.0.730 2010.02.09 -
    BitDefender 7.2 2010.02.09 -
    CAT-QuickHeal 10.00 2010.02.09 -
    ClamAV 0.96.0.0-git 2010.02.09 -
    Comodo 3874 2010.02.09 -
    DrWeb 5.0.1.12222 2010.02.09 -
    eSafe 7.0.17.0 2010.02.07 -
    eTrust-Vet 35.2.7292 2010.02.09 -
    F-Prot 4.5.1.85 2010.02.09 -
    F-Secure 9.0.15370.0 2010.02.09 -
    Fortinet 4.0.14.0 2010.02.09 -
    GData 19 2010.02.09 -
    Ikarus T3.1.1.80.0 2010.02.09 -
    Jiangmin 13.0.900 2010.02.08 -
    K7AntiVirus 7.10.969 2010.02.08 -
    Kaspersky 7.0.0.125 2010.02.09 -
    McAfee 5886 2010.02.08 -
    McAfee+Artemis 5886 2010.02.08 -
    McAfee-GW-Edition 6.8.5 2010.02.09 -
    Microsoft 1.5406 2010.02.09 -
    NOD32 4850 2010.02.09 -
    Norman 6.04.03 2010.02.09 -
    nProtect 2009.1.8.0 2010.02.09 -
    Panda 10.0.2.2 2010.02.07 -
    PCTools 7.0.3.5 2010.02.09 -
    Rising 22.34.01.01 2010.02.09 -
    Sophos 4.50.0 2010.02.09 -
    Sunbelt 3.2.1858.2 2010.02.09 -
    Symantec 20091.2.0.41 2010.02.09 Suspicious.Insight
    TheHacker 6.5.1.1.185 2010.02.09 -
    TrendMicro 9.120.0.1004 2010.02.09 -
    VBA32 3.12.12.1 2010.02.08 -
    ViRobot 2010.2.9.2178 2010.02.09 -
    VirusBuster 5.0.21.0 2010.02.09 -
    附加信息
    File size: 193361 bytes
    MD5   : ce43529db2daf47b586ff489bfa91177
    SHA1  : 58e7843a1f5768d2d5202723dc939b752034290b
    SHA256: 21d39cb838626d42b9f43b3996cec911cda0fb0dbf90b3d1a430a1cc486f0242
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x30CB
    timedatestamp.....: 0x4A2AE29C (Sat Jun 6 23:41:48 2009)
    machinetype.......: 0x14C (Intel I386)

    ( 5 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0x58D2 0x5A00 6.43 c69726ed422d3dcfdec9731986daa752
    .rdata 0x7000 0x1190 0x1200 5.18 a2c7710fa66fcbb43c7ef0ab9eea5e9a
    .data 0x9000 0x1AF78 0x400 4.62 e59cdcb732e4bfbc84cc61dd68354f78
    .ndata 0x24000 0x8000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
    .rsrc 0x2C000 0x27D50 0x27E00 4.87 34e68d5c3a392f0c3f9d435e29038821

    ( 8 imports )

    > advapi32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA
    > comctl32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create
    > gdi32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject
    > kernel32.dll: CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, GetTickCount, GetFileSize, GetModuleFileNameA, GetCurrentProcess, CopyFileA, ExitProcess, GetWindowsDirectoryA, SetFileTime, GetCommandLineA, SetErrorMode, LoadLibraryA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, CreateFileA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, GetVersion, CloseHandle, lstrcmpiA, lstrcmpA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, GetModuleHandleA, LoadLibraryExA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetTempPathA
    > ole32.dll: CoTaskMemFree, OleInitialize, OleUninitialize, CoCreateInstance
    > shell32.dll: SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation
    > user32.dll: EndDialog, ScreenToClient, GetWindowRect, EnableMenuItem, GetSystemMenu, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, RegisterClassA, TrackPopupMenu, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxIndirectA, CharPrevA, DispatchMessageA, PeekMessageA, DestroyWindow, CreateDialogParamA, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, OpenClipboard, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow
    > version.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA

    ( 0 exports )
    TrID  : File type identification
    Win32 Executable MS Visual C++ (generic) (65.2%)
    Win32 Executable Generic (14.7%)
    Win32 Dynamic Link Library (generic) (13.1%)
    Generic Win/DOS Executable (3.4%)
    DOS Executable Generic (3.4%)
    ssdeep: 3072:PLk395hYXJJW8lOes5wR1XNAb5TSymoKeVnQ08Wl6fHYdhZ72Plqi4D8hC0olUkf:PQq3Hiha46PYdhZKPn8llUk8Dv+jGEDP
    PEiD  : -
    packers (F-Prot): NSIS
    RDS   : NSRL Reference Data Set
    -

     

      O30这种劫持IE的方式也已经出现很久了。

     

      三、修复


      1、删除桌面上的广告网页的快捷方式文件
      2、用Windows自带的“桌面清理”工具来删除桌面的两个IE浏览器的快捷方式。步骤如下:

      在桌面空白处右键单击,然后依次选择“属性→桌面→自定义桌面→现在清理桌面”,在打开的“清理桌面向导”中点“下一步”,然后在“快捷方式”区域选中桌面上的假IE图标,然后 下一步 → 完成。

      3、到http://endurer.ys168.com下载HijackThis修复 F2 和 O24项。

      4、运行注册表编辑器regedit,搜索:53ff.com,双击找到的项目,将值中的hxxp://www.53ff.com/?hho删除。
      5、 用WinRAR删除启动文件夹中的快捷方式文件腾讯QQ.lnk
      6、用WinRAR删除文件夹:C:/Program Files/systemfiles
      7、检修桌面、开始菜单程序、快速启动项上的快捷方式

     

      让网友重启电脑,这下电脑正常了。

    展开全文
  • 删除桌面无法删除网页快捷方式

    千次阅读 2013-11-26 19:34:13
    电脑中了病毒,桌面一直有一些网页快捷方式删不掉,如“淘宝购物”,“免费电影”等,后经过查找,成功删除 方法一(注册表法): 开始--运行--regedit 打开以下注册表 HKEY_LOCAL_MACHINE\SOFTWARE\...
  • 如何卸载FF推荐?

    万次阅读 2019-07-26 22:04:01
    很多小伙伴们都发现,近一段时间,自己的电脑中时常会弹出一个叫“FF新推荐”的广告弹窗,扰民不说显示的内容也很猥亵。按理说,电脑上开启拦截软件后,一般的广告弹窗是不会出现的,那么这个能跳过安全工具拦截的...
  • IE、FF脚本的区别

    2014-03-20 16:24:56
    FF:没有window.event对象。 解决方法: var event = window.event || event; function test(event){ var event = window.event || event; } 二.鼠标当前坐标 IE:event.x 和 even...
  • centos 5.5 ff 乱码

    2014-07-01 09:12:58
    解决办法: 进入 应用/添加删除软件 中搜索,因为系统中已经附带了这些文件。 中文支持的包: fonts-chinese-3.02-12.el5.noarch.rpm //中文字体包 fonts-ISO8859-2-75dpi-1.0-17.1.noarch.rpm //字体显示包 安装...
  • 用HTML+CSS做一个漂亮简单的个人网页

    万次阅读 多人点赞 2019-12-20 17:14:46
    用HTML+CSS做一个漂亮简单的个人网页 ...图片是从站酷上面找的(因为我不会设计图),如果有侵权了什么的请联系我立刻马上删掉哈! (首页的首屏有下雪了的特效,右下角有音乐播放提示) 2.先看一下效果哈! 效...
  • 很多小伙伴们都发现,近一段时间,自己的电脑中时常...其实它的历史可以从追溯到网络诞生伊始,最早网页上炫目的动画都是由Flash编写的,也就是说没有对应的播放器,那么你看到的所有网站,就只有图片、文字、色彩这三
  • 添加和删除评论功能网页的实现

    千次阅读 2016-10-19 15:22:03
    DOM是Document Object Model(文本对象...另外,文档对象模型还提供了添加和删除文档对象的方法,这样能够创建动态的文档内容。DOM也提供了处理事件的接口,它允许捕获和响应用户以及浏览器的动作。 接下来通过结合HTM
  • 今日想往FF中添加个右键菜单...粗略看了一下,好像FF的右键菜单只是网页中弹出的一个“层”,通过对“层”内容的书写来添加删除右键菜单。真是个有意思的方法。这样处理起来速度会快些吗?这是找到的网页:http://mozil
  • 做BS开发就难免会用到javascript,而每个浏览器对javascript的支持有不同。...以下以 IE 代替 Internet Explorer,以 MF/FF 代替 Mozzila Firefox //window.event IE:有window.event对象 FF:没
  • [导读]做BS开发就难免会用到javascript,而每个... /*以下以 IE 代替 Internet Explorer,以 MF/FF 代替 Mozzila Firefox */    //window.event  IE:有window.event对象  FF:没有windo
  • 兼容IE和FF的js脚本写法

    千次阅读 2010-07-05 16:23:00
    兼容IE和FF的js脚本写法
  • 这是一篇收集的文档,介绍了网页上常用的IE/火狐兼容性该页的做法,并给出了代码,相当实用了。为了方便大家阅读代码,以下以 IE 代替 Internet Explorer,以 MF/FF 代替 Mozzila Firefox 。以下进入正题...
  • ie与ff兼容问题

    2012-06-03 00:42:35
    宽高 引起的,其实a:haver已经继承了上级的属性了,只要定义不同的样式就可以了,看来ff有助于制作标准化,简洁化的网页啊,对css的理解也更深刻,对提供css来说是个很好的帮助) .onelinksdiv a:hover { ...
  • IE、FF的JS兼容写法

    2011-09-07 16:15:29
    转载请标明出处:http://blog.csdn.net/IBM_hoojo/archive/2010/07/02/5708440.aspx  /*以下以 IE 代替 Internet Explorer,以 MF/FF 代替 Mozzila Firefox */
  • JS_兼容IE和FF的写法

    2010-11-24 23:23:00
    下面是兼容IE和FF的js脚本做法和分解(部分选自网上,经本人整理),希望对大家有帮助。      /*以下以 IE 代替 Internet Explorer,以 MF/FF 代替 Mozzila Firefox  */   //window.even
  • 网页中Email邮件显示与删除操作

    千次阅读 2015-10-15 23:39:10
    4,删除所选项是需要主要,当前的是checkbox对象,上一级是td--tr--先拿到tr对象,然后对通过tr的父节点删除tr对象再删除之后,x会变化,可能有些删不到,所以需要将X的值还原,或者从后面开始删除 。 2,样式...
  • IE与FF中兼容

    2009-01-04 14:34:00
    NS、FF 认为 offsetHeight 是网页内容实际高度,可以小于 clientHeight。 offsetWidth 获取对象相对于版面或由父坐标 offsetParent 属性指定的父坐标的宽度。 offsetParent 获取定义对象 offsetTop 和 ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 30,321
精华内容 12,128
关键字:

删除ff网页